Cracking part 4

Chia sẻ: Dqwdasdasd Qwdasdasdasd | Ngày: | Loại File: PDF | Số trang:5

Thêm vào BST

Báo xấu

63
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Cracking part 4

sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau : Một số phím tắt khi sử dụng IDA - Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file dll đang disasm, dùng tổ hợp phím Ctrl+E - Di chuyển tới một địa chỉ VA: phím G - Tìm kiếm chuỗi trong tab Name, Strings...: Menu->Search (Alt-T): - Liệt kê các tham chiếu đến một label: Menu->Jmp->Jmp to xrefs..., hoặc sử dụng phím X - Viết comment cho một đoạn code: dùng phím ; hoặc Shift+; (hai chức năng này hơi khác nhau một chút). - Lưu bookmark: Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại, ta bấm chuột phải vào phần địa chỉ .text..... bên trái, chọn Mark position (Alt+M), đặt tên bookmark cho dễ nhớ. Liệt kê các bookmark Ctrl+M - Thực hiện tính toán trong IDA: gõ Shìt + / để hiện cửa sổ lệnh, gõ biểu thức có cú pháp giống ngôn ngữ C. Chức năng này gần tương tự như lệnh calc bên OllyDbg. - Đổi tên label, tên biến hay tên hàm cho dễ đọc... : di chuyển con trỏ tới đó, dùng phím N - Xác định symbolic constant: ví dụ trong đoạn code sau Code: .text:0040C842 push edx ; phkResult .text:0040C843 push 0 ; lpSecurityAttributes .text:0040C845 push 0F003Fh ; samDesired .text:0040C84A push 0 ; dwOptions .text:0040C84C push 0 ; lpClass .text:0040C84E push 0 ; Reserved .text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\"...
.text:0040C855 push 80000002h ; hKey .text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure Để xác định hằng số 80000002h tương ứng với Symbol nào, chỉ cần bấm chuột phải, chọn Symbolic constant->Use standard... và chọn lấy hằng thích hợp trong list hiện ra, Ở đây ta chọn HKEY_LOCAL_MACHINE. Kết quả Code: .text:0040C842 push edx ; phkResult .text:0040C843 push 0 ; lpSecurityAttributes .text:0040C845 push KEY_ALL_ACCESS ; samDesired .text:0040C84A push REG_OPTION_NON_VOLATILE ; dwOptions .text:0040C84C push 0 ; lpClass .text:0040C84E push 0 ; Reserved .text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\"... .text:0040C855 push HKEY_LOCAL_MACHINE ; hKey .text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure kienmanowar (http://www.reaonline.net) BÀI 6: FIND REAL SERIAL Phần 3: Find Real Serial in “RECYCLE BIN” Vài lời tâm sự cho vui, lâu lắm rồi tôi ko được tâm sự với các bạn nên cũng “buồn buồn”.Hôm nay xin mạn phép nói nhiều một chút. Ai nghe ko vào xin bỏ qua cho. Thật ra benina tính ko tiếp tục viết các lọat tut như vầy nữa, vì viết các lọat tut này nó giống như một cuốn sách , đòi hỏi sự logic rất cao. Đồng thời để dễ hiểu , dễ đọc người viết phải có một quá trình thực tế crack rất nhiều và một bề dày kinh nghiệm rất lớn. Nhưng benina thì….có kinh nghiệm cái cóc khô gì đâu. Biết gì nói đó. Nói trật lất mà cũng ko thấy ai lên tiếng.Tôi biết có nhiều người rất giỏi, nhưng tui chưa bao giờ thấy họ thật tình chia sẽ với các newbie chúng ta. Họ tham gia forum chủ yếu là …đặt ”cái tôi” của mình ở thanh tiêu đề forum. Họ tham gia forum để post vài ba câu khó hiểu chủ yếu là “trình diễn” cái gọi là kiến thức thâm hậu của mình nhưng lại vô ích cho mọi người. Thậm chí tui “khẩn cầu tha thiết” mà họ vẫn giữ cái đống kiến thức họ có để chui xuống mồ chứ ko share cho ai. Theo benina thì những người như thế sống trên thế gian này thật ko có ích lợi gì , chui xuống mồ càng sớm càng tốt cho rồi.Vì vậy các bạn newbie cứ an tâm, benina này biết gì thì các bạn sẽ biết cái đó. Tui sẽ share hết cho các bạn những gì tui học được từ các tut nước ngòai . Nếu sai , các bạn cứ chỉ bảo, góp ý. Benina này sẽ cám ơn rất rất nhiều. Vì như vậy chúng ta mới cùng tiến bộ. Những lời lẽ trên đây mặc dù có tính “hồi giáo cực đoan”, nhưng ko nói ra thì ko thức tỉnh được mọi người . Tôi nghĩ trong forum chắc cũng có nhiều người rất bận bịu với cuộc sống. Nhưng các bạn thân mến, các bạn hảy chơi hết mình trên sân chơi mà mình yêu thích. Đừng chơi nữa vời, như thế sẽ ko đáng mặt “anh hùng mã thượng”. Benina nói vậy có đúng ko các bạn?!
Cực đoan quá , cực đoan quá…. Các bạn hảy bỏ qua cho tôi…hôm nay tôi hơi khùng một chút….hihi Còn bây giờ…. tôi xin lấy một ví dụ tìm Real serial trong “đống rác” hết sức đơn giản để làm ví dụ cho những gì tui post ở bài 5: Thật tội lỗi với mấy nhà sản xuất “cha mẹ” của các phần mềm quá xá!!. Hôm nay tui lại “phá giới” để “sốp” 1 em soft “hồng nhan bạt mệnh” FullDisk 5.2. “Sốp” xong thấy “đã thiệt” nên đành giới thiệu cho các bạn nào “háo” “sắc”,bầm, đâm, chém mấy cái soft. : )) Hôm nay cũng là chiều thứ bảy ,rãnh rỗi, lấy tờ báo echip tuần này ra đọc , thấy giới thiệu phần mềm FullDisk 5.2 cũng hay hay. Dowload nó về và ……trời. Crack chưa đến 5 phút như Rongchaua có lần nói mà tui ko tin nổi. Thật quá đơn giản các bạn ạ!. Hôm nay tôi mới sáng mắt ra.Quả thật chỉ có 5 phút. Và thấy đây cũng là một “bằng chứng trước tòa “cho những gì tui post ở bài 5, nên đành phải “thành thật khai báo” cho các bạn biết và cũng vì phần mềm này chỉ có 10$ nên lương tâm benina cũng ko bị cắn rứt thành từng miếng .Hihi FIND REAL SERIAL IN “RECYCLE BIN” Author: Benina Target: FullDisk 5.2 Download: http://www.winsite.com/bin/Info?500000033856 Size: 1,22MB File cracking: D:\Program Files\FullDisk\Fulldisk.exe Tools : OllDbg 1.10 Comment: Đây là tiện ích cho bạn biết chính xác dung lượng của từng thư mục hay phân vùng ổ đĩa bằng màu sắc. Method: -Search string trong messagebox Badboy : “Name / Code mis match. Try again.” -Tìm ra tử huyệt tải : 0040ACA5 . 74 60 JE SHORT Fulldisk.0040AD07 -Tìm thấy chuổi Real Serial trong cửa sổ stack tại dòng lệnh: 0040AC88 . E8 030A0000 CALL Fulldisk.0040B690 Chuổi Real serial như sau: Name: benina Code: 6F508A8AC3AAB74FF1C90E771DF722B9 1.Thu thập thông tin: -Dùng Peid biết được phần mềm này ko bị pack, viết bằng ngôn ngữ Microsoft Visual C++ 6.0.
(hình 01) -Load file Fulldisk.exe lên Olly, Run chương trình (F9). -Vào menu File/Chọn mục Register…(hình 02) (hình 02) -Nhập fake Name và code như sau: (hình 03) Name : benina Code : 01234567890 (hình 03) -Click vào button : Validate My Codes. Bad boy xuất hiện: (hình 04) (hình 04) -Trong Bad boy ta thấy có chuổi “Name / Code mis match. Try again.” 2.Cracking: -Như thông lệ chúng ta tìm “điểm đích” trước .Trong Olly nhấn CTRL-F2 tải lại chương trình. a-Searh string “Name / Code mis match. Try again.”: -Bằng cách click phải vào vùng code của cửa sổ CPU. Xuất hiện menu pop-up. Chọn Search for/ All referenced text strings. (Như hình 05) (hình 05) -Cửa sổ Text strings referenced xuất hiện (như hình 06) (hình 06) -Đầu tiên chúng ta đưa Thanh sáng của cửa sổ về đầu list trong cửa sổ Text strings tại địa chỉ 00401250 (như hình 06a) (hình 06a)
-Click phải vào cửa sổ Text strings referenced xuất hiện menu pop-up. Chọn Search for text (như hình 07) (hình 07) -Đánh vào chử đầu “Name” trong chuổi “Name / Code mis match. Try again.” Và chọn mục Case sensitive trong hộp thọai Enter text to search for. Nhấn OK: (như hình 08) (hình 08) -Nhấn OK, xuất hiện kết quả tìm được như hình 09: (hình 09) Chưa tìm thấy chuổi string “Name / Code mis match. Try again.” -Chúng ta search tiếp bằng cách chọn “Search next” (CTRL-L)trong menu pop-up khi click phải chuột (như hình 10) (hình 10) -Search next cho đến khi tìm ra chuổi “Name / Code mis match. Try again.” Tại địa chỉ 0040AD0B (như hình 11) (hình 11) -Dclick vào địa chỉ 0040AD0B để đến vùng code trong cửa sổ CPU như hình 12 (hình 12) Vậy đến đây chúng ta đã tìm được “điểm đích” tại địa chỉ : 0040AD0B . 68 58E94100 PUSH Fulldisk.0041E958 ; ASCII "Name / Code mis-match. Try again." b. Quá trình cracking. -Từ điểm đích chúng ta bắt đầu mò lên xem sao. -Đầu tiên tôi thấy dòng routine này có chuổi "Thank you for registering!" 0040ACFB . 68 3CE94100 PUSH Fulldisk.0041E93C ; ASCII "Thank you for registering!" Haha, vậy là ta đã đến được “ vùng chết” của soft rồi!!! -Lên một chút chúng ta sẽ thấy lệnh nhảy có điều kiên JE